Положение о защите, хранении, обработке , работе и передаче персональных данных ООО «Л-Авто Сервис»

Положение о защите, хранении, обработке, работе и передаче персональных данных ООО «Л-Авто Сервис»

1. Общие положения

1.1. Настоящее Положение определяется в соответствии со следующими нормативными правовыми актами:
– Конституцией Российской Федерации;
– Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
– Федеральный закон от 27.07.2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
– Указ Президента РФ от 6 марта 1997 г. № 188 "Об утверждении Перечня сведений конфиденциального характера";
– Постановление Правительства РФ от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
– Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
– Приказ Роскомнадзора от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных";
– Постановление Правительства Российской Федерации от 13.02.2019 № 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных".
1.2. Цель разработки Положения - определение порядка обработки персональных данных субъектов персональных данных (клиентов, контрагентов и иных) ООО «Л-Авто Сервис» (далее по тексту - Организация), персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну; продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается в порядке, предусмотренном п. 3.7 настоящего Положения); а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

II. Основные понятия и состав персональных данных

2.1. Основные понятия:
- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным субъектов персональных данных, требование не допускать их распространения без согласия субъекта персональных данных;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
- использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- общедоступные персональные данные - сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке.
- информация - сведения (сообщения, данные) независимо от формы их представления.
- документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.2. В состав персональных данных субъектов персональных данных входит любая информация, так или иначе, содержащая в себе данные о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы.
2.3. К персональным данным субъекта персональных данных относятся:
– фамилия, имя, отчество;
– дата рождения;
– гражданство;
– паспортные данные
– номер страхового свидетельства;
– ИНН;
– данные об образовании (реквизиты дипломов/иных документов);
– данные о приобретенных специальностях;
– семейное положение;
– данные о членах семьи (степень родства, Ф. И. О., год рождения, паспортные данные, включая прописку и место рождения);
– фактическое место проживания;
– информация о принадлежащих на праве собственности, праве пользования, иных вещных правах субъекту персональных данных транспортных средствах;
– контактная информация;
– контактный номер телефона;
– контактный адрес электронной почты;
– наименование должности;
– никнеймы в чатах/мессенджерах;
– данные о военной обязанности;
– данные о текущей трудовой деятельности;
– персональные данные, предоставленные субъектом персональных данных в составе различных анкет, аудиозаписей общения с работниками Оператора и иными обращающимися к Оператору лицами, электронной переписки с указанными лицами в различных каналах коммуникации (электронная почта, чаты, мессенджеры и подобное).
2.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.5. Персональные данные являются конфиденциальной информацией и не могут быть использованы в личных целях.
2.6. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, если иное не определено законом.

III. Сбор, обработка и защита персональных данных

3.1. Все персональные сведения от субъектов персональных данных Организация вправе получить только от него самого.
В случаях, если Организация может получить какие-либо необходимые персональные данные субъекта персональных данных только у третьего лица, Организация должна уведомить об этом субъекта персональных данных и получить от него письменное согласие.
3.2. Организация обязана сообщить субъекту персональных данных о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
3.3. Организация не имеет права получать и обрабатывать персональные данные клиента о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни за исключением случаев, предусмотренных законодательством РФ.
3.4. Обработка указанных персональных данных субъектов персональных данных возможна только с их письменного согласия.
3.5. Письменное согласие на обработку своих персональных данных должно включать:
– фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
– наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
– перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
– срок, в течение которого действует согласие, а также порядок его отзыва;
– подпись субъекта персональных данных.
3.6. В согласии на обработку персональных данных, разрешенных клиентом или контрагентом для распространения, он вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных организацией неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
3.7. Согласие субъекта персональных данных не требуется, если:
– обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Компании;
– обработка персональных данных в целях исполнения договора;
– обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
– персональные данные являются общедоступными;
– персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение его согласия невозможно;
– персональные данные обрабатываются по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
3.8. Во всех случаях отказ клиента от своих прав на сохранение и защиту тайны недействителен.

IV. Передача и хранение персональных данных

4.1.При передаче персональных данных субъекта персональных данных Организация должна соблюдать следующие требования:
– не сообщать персональные данные субъекта персональных данных третьей стороне, за исключением случаев, когда это необходимо в целях предупреждения угрозы его жизни и здоровью, а также в случаях, установленных федеральным законом и настоящим Положением;
– не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
– обработка персональных данных субъекта персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с ним с помощью средств связи допускается только с его предварительного согласия;
– предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
– лица, получившие персональные данные субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности);
– осуществлять передачу персональных данных субъекта персональных данных в пределах Организации в соответствии с настоящим Положением;
– разрешать доступ к персональным данным субъекта персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции;
– передавать персональные данные субъекта персональных данных его представителям в порядке, установленном гражданским законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
4.2. Хранение и использование персональных данных:
4.2.1. Право доступа к персональным данным имеют:
– директор Организации;
– сотрудники отдела кадров Организации;
– сотрудники бухгалтерии Организации;
– сотрудники юридического отдела Организации;
– сотрудники службы внутреннего контроля Организации;
– сотрудники отдела информационных технологий Организации;
– руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения).
4.2.2.Хранение персональных данных осуществляется на электронных а так же при необходимости на бумажных носителях.
4.2.3. Документы персонального характера хранятся в сейфах подразделений, ответственных за ведение и хранение таких документов.
Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде - локальной компьютерной сети и компьютерной программе «1С».
4.2.4. Организация вправе привлекать третьих лиц к обработке персональных данных путем получения персональных данных от третьих лиц и передачи персональных данных третьим лицам, обеспечивающих адекватную защиту прав субъектов персональных данных. Привлечение третьих лиц к обработке персональных данных может осуществляться только при условии обработки такими лицами персональных данных в минимально необходимом составе и исключительно для достижения предусмотренной согласием цели обработки персональных данных, а также при условии обеспечения такими лицами конфиденциальности и безопасности персональных данных при их обработке (в случае неисполнения третьими лицами данных условий указанные лица будут нести ответственность на основании своих договорных обязательств перед Организацией и (или) в соответствии с положениями применимого законодательства о персональных данных).

V. Обязанности Организации по защите персональных данных

5.1. Организация обязана за свой счет обеспечить защиту персональных данных субъекта персональных данных от неправомерного их использования или утраты в порядке, установленном законодательством РФ.
5.2. Работники, допущенные к персональным данным клиентов и контрагентов, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки персональных данных клиентов и контрагентов не допускаются.
5.3. Организация обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных федеральными законами в области защиты персональных данных и иными нормативными правовыми актами:
– назначать сотрудника, ответственного за организацию обработки персональных данных;
– издавать документы, определяющие политику Организации в отношении обработки персональных данных, локальные акты по вопросам обработки и защиты персональных данных;
– применять правовые, организационные и технические меры по обеспечению безопасности персональных данных;
– при сборе персональных данных субъекта персональных данных – гражданина РФ обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъекта персональных данных с использованием баз данных, находящихся на территории РФ.
– осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных федеральным законам в области защиты персональных данных и иным нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
– оценивать вред, который может быть причинен субъектам персональных данных в случае нарушения законодательства в области защиты персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом;
– знакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства в области защиты персональных данных, в том числе с документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучать указанных работников.
5.4. Организация обязана обеспечить возможность свободного ознакомления субъектов персональных данных и их представителей с настоящим Положением и их правами в области защиты персональных данных путем размещения настоящего Положения на официальном сайте Организации.
5.5. Субъект персональных данных имеет право на получение от Организации информации, касающейся обработки его персональных данных. В связи с чем, Организация обязана по требованию субъекта персональных данных обеспечить ему свободный бесплатный доступ к его персональным данным и информации об обработке этих данных.

VI. Права субъекта персональных данных на защиту его персональных данных

6.1. Субъект персональных данных в целях обеспечения защиты своих персональных данных, хранящихся у Организации, имеет право получать от Организации:
– сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
– перечень обрабатываемых персональных данных и источник их получения;
– сроки обработки персональных данных, в том числе сроки их хранения;
– сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
6.2. Субъект персональных данных может требовать от Организации уточнить, исключить или исправить неполные, неверные, устаревшие, недостоверные, незаконно полученные или не являющиеся необходимыми для Организации персональные данные;
6.3. Если субъект персональных данных считает, что Организация осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

VII. Порядок уничтожения, блокирования персональных данных

7.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных Организация обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения.
7.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных Организация обязана осуществить блокирование относящихся к нему персональных данных с момента такого обращения, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
7.3. В случае подтверждения факта неточности персональных данных Организация на основании сведений, представленных субъектом персональных данных, или иных необходимых документов обязана уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
7.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Организацией, Организация в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных.
7.5. Если обеспечить правомерность обработки персональных данных невозможно, Организация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные.
7.6. Об устранении допущенных нарушений или об уничтожении персональных данных Организация обязана уведомить субъекта персональных данных.
7.7. В случае достижения цели обработки персональных данных Организация обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено Договором.
7.8. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Организация обязана прекратить их обработку в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено Договором с субъектом персональных данных.
7.9. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в настоящем Положении, Организация осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7.10. В случае обращения клиента или контрагента в организацию с требованием о прекращении обработки персональных данных организация в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления организацией в адрес клиента или контрагента мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

VIII. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

8.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

IX. Заключительные положения

9.1. Настоящее Положение вступает в силу с момента его утверждения Директором Организации и действует бессрочно, до замены его новым Положением.
9.2. Все изменения в Положение вносятся приказом директора Организации.
9.3. Все работники Организации должны быть ознакомлены с настоящим Положением под роспись.